nordvpn хак


Това ръководство се потопи дълбоко в скорошния хак NordVPN и изследва факти около ситуацията, с най-новите разработки.

Наскоро медийните издания публикуват множество съобщения за хакване NordVPN, възникнали на сървър във Финландия. Слуховете и твърденията се разпространяват бързо, като NordVPN е един от най-големите VPN мрежи на пазара.

Въпреки че новините може да са тревожни за някои, осезаемото въздействие на този проблем за потребителите на NordVPN е доста ограничено.

NordVPN хак: обобщение на фактите

Първо, да се поставят нещата в перспектива, този хак засегна един NordVPN сървър във Финландия от мрежа от около 5000 сървъра. Сега да разгледаме какво точно се е случило с този сървър.

През март 2018 г. някой публикува TLS сертификати от NordVPN, TorGuard и VikingVPN на 8chan. Докато публикацията за 2018 г. изглежда е попаднала под радара, наскоро изданието избухна в Twitter, което завърши в статия на TechCrunch, в която се твърди, че NordVPN е „хакнат“.

Какво би могъл да направи хакер с изтекъл ключ с TLS?

Когато хората чуят думата „хак“, те приемат най-лошото. Но нека копаем по-дълбоко.

Както посочи NordVPN в официалния си отговор,

Нарушителят намерил и придобил TLS ключ това има вече е изтекъл. С този ключ атака може да се извърши само в мрежата срещу конкретна цел и ще изисква изключителен достъп до устройството или мрежата на жертвата (като вече компрометирано устройство, злонамерен мрежов администратор или компрометирана мрежа). Такава атака би била много трудна за отнемане. Изтекъл или не, този TLS ключ не можеше да бъде използван за дешифриране на NordVPN трафик по никакъв начин. Това не е това, което прави.

Това беше изолиран случай и не бяха засегнати други доставчици на сървъри или центрове за данни.

Това ни води до следващия въпрос.

Компрометирани ли са потребителите на NordVPN?

Въз основа на всички налични доказателства отговорът изглежда е не. Потребителите на NordVPN не са били компрометирани от нападател, получил достъп до един ключ с TLS с изтекъл срок за един сървър във Финландия.

Първо, хакерът няма да има достъп до регистрационни файлове на сървъра, тъй като NordVPN е VPN доставчик без регистрация, който не съхранява нищо на своите сървъри. NordVPN премина одит на трета страна от PricewaterhouseCoopers, като потвърди своята политика за без регистрация.

Второ, NordVPN използва перфектна тайна за напред, която генерира уникален ключ за всяка сесия, използвайки ефемерни ключове Diffie-Hellman. Това означава, че дори и с TLS ключ има малко хакер може дори да направи, от времето на ключовете се използват за удостоверяване на сървъра а не криптиране на трафика. Както NordVPN посочи по-горе, хакерът ще се нуждае от директен достъп до устройството или мрежата на потребителя за ефективна атака (крайно малко вероятно).

Този хак засяга ли дори някого?

Няма как да сте 100% сигурни с нищо, но изглежда, че отговорът е не.

Няма доказателства, които да предполагат, че трафика или частните данни от потребителите на NordVPN са били използвани в този хак. Без нарушаване на данните няма законово задължение за предупреждение на някого.

Как хакерът получи клавишите TLS?

Отговорът на този въпрос изглежда не е ясен - поне за мен.

NordVPN обвинява центъра за данни във Финландия, както обясниха в официалния си отговор:

Нарушението стана възможно поради лоша конфигурация от страна на трети център за данни, за която ние никога не бяхме уведомявани. Доказателствата сочат, че когато центърът за данни разбра за проникването, те изтриха акаунтите, които бяха причинили уязвимостите, вместо да ни уведомяват за грешката си. Щом научихме за нарушението, сървърът и договорът ни с доставчика бяха прекратени и започнахме обширен одит на нашата услуга.

Междувременно Центърът за данни обвинява NordVPN на парче, публикувано в Регистъра:

„Да, можем да потвърдим, че са били наши клиенти“, продължи Вискари. „И те имаха проблем със сигурността си, защото не се погрижиха сами.

„Всички сървъри, които предоставяме, разполагат с инструмента за отдалечен достъп iLO или iDRAC и всъщност този инструмент за отдалечен достъп има проблеми със сигурността от време на време, както почти целият софтуер в света. Ние закърпихме този инструмент, когато новият фърмуер беше пуснат от HP или Dell.

И накрая, може да има трето обяснение - a недоволен служител. Основателят на VikingVPN, който вече не е свързан с VikingVPN, предложи на reddit това,

това звучи по-скоро като недоволен служител в Nord или в центъра за данни, който изтича ключовете, а не като „хакер“.

Така че тук имаме три различни възможности за това как хакерът би могъл да се сдобие с изтеклия TLS ключ на NordVPN сървъра във Финландия. Независимо от това, както обяснихме по-горе, въздействието за потребителите на NordVPN е по същество нищожно.

NordVPN предоставя обобщение на събитията

Преди да публикувам тази статия, помолих NordVPN за разяснения по няколко въпроса. Един от техните представители ми предостави следното обобщение:

  • Няма признаци, показващи, че някой от нашите клиенти е бил засегнат или че данните им са били достъпни от злонамерения актьор.
  • Самият сървър не съдържаше никакви регистри на потребителски дейности. Нито едно от нашите приложения не изпраща създадени от потребители идентификационни данни за удостоверяване, така че потребителски имена и пароли не биха могли да бъдат прихващани.
  • Услугата ни като цяло не беше хакната; кодът ни не беше хакнат; VPN тунелът не е нарушен. Приложенията NordVPN не са засегнати. Това беше индивидуален случай на неоторизиран достъп до 1 от повече от 5000 сървъра, с които разполагаме.
  • Хакерът успя да получи достъп до този сървър поради грешките, направени от собственика на центъра за данни, за които ние не бяхме запознати.
  • Веднага след като разбрахме за проблема, прекратихме връзката си с този конкретен център за данни и раздробихме сървъра.
  • Не е възможно да декриптирате текуща или записана VPN сесия, дори ако някой е получил частни ключове от VPN сървър. Използва се перфектна тайна за напред (с алгоритъм за обмен на ключове Diffie-Hellman). Клавишите от VPN сървъра се използват само за удостоверяване на сървъра, а не за криптиране.

График на събитията от NordVPN:

  1. Засегнатият сървър бе представен онлайн на 31 януари 2018 г..
  2. Доказателствата за нарушението се появиха на публично място на 5 март 2018 г. * Допълнителни доказателства сочат, че тази информация е станала достъпна едва след действителното нарушение.
  3. Възможността за неоторизиран достъп до нашия сървър беше ограничена, когато центърът за данни изтрие неразкрития мениджърски акаунт на 20 март 2018 г..
  4. Сървърът е раздробен на 13 април 2019 г. - в момента, в който подозирахме за възможно нарушение.

Надстройки на мрежовата сигурност на NordVPN

За да подобри допълнително сигурността, NordVPN обяви следните планове в отговора си:

От откриването сме предприели всички необходими средства за повишаване на сигурността ни. В момента сме преминали одит за сигурност на приложенията, работим върху втори одит без регистрация в момента и подготвяме програма за бъгове. Ще дадем всичко от себе си, за да увеличим максимално сигурността на всеки аспект от нашата услуга, а през следващата година ще стартираме независим външен одит на цялата ни инфраструктура.

Както бе отбелязано по-горе, NordVPN вече е един от малкото доставчици на VPN, които са преминали пълен одит на трета страна, за да проверят своите искания без регистрация. Този одит приключи през ноември 2018 г. и изглежда, че в момента се провежда втори одит.

Освен това NordVPN ми каза, че ще пренастроят своите сървърна мрежа да тичам RAM-диск само режим. Това наистина е по-сигурна настройка през традиционните твърди дискове, тъй като нищо не може да се съхранява на сървъра. Perfect Privacy управлява мрежата си по този начин и ExpressVPN също се прехвърли към стартиране на всички сървъри в RAM-диска, които те наричат .

Оставащи проблеми с NordVPN

За разлика от много други сайтове, обсъждащи VPN, NordVPN никога не е била нашата основна препоръка тук при Възстановяване на поверителността. Въпреки че е достъпна VPN с добри функции, тя никога не е заемала №1 в най-добрия списък с VPN. И въпреки всички неотдавнашни вълнения, не съм прекалено притеснен от проблема с ключовете TLS със сървър във Финландия.

Въпреки това, тук има три закъснения.

1. По-бързо уведомяване

Според предоставената времева линия NordVPN подозира евентуално нарушение през април 2019 г. Техните мотиви за забавеното уведомление бяха да гарантират, че останалата част от тяхната мрежа е защитена срещу по-нататъшни атаки. Друго потенциално оправдание за забавянето е, че данните на никого не са засегнати от този „хак“.

Независимо от това, месеците на чакане за предупреждение на потребителите вероятно не са най-добрата идея.

2. Маркетинг над сигурността

През последните няколко години наблюдавах как NordVPN пуска в маркетинг несметни суми пари. Рекламите в NordVPN са били навсякъде по интернет, по телевизията, а сега има армия от YouTubers, които рекламират и VPN..

Въпреки че пазарът на VPN наистина е конкурентен, изглежда, че маркетингът е основен приоритет, който може да дойде за сметка на сигурността. Да се ​​надяваме, че това последно събитие може да помогне на NordVPN да пренареди своите приоритети с нов фокус върху сигурността и по-малко върху маркетинга и промоцията.

3. Изпълнение

В началото на миналото лято, когато провеждах тестове за прегледа на NordVPN, забелязах, че представянето взе удар. Ускоренията като цяло бяха по-бавни в сравнение с предишните тестове за ефективността на сървърната мрежа на NordVPN.

Получих също подобна обратна връзка от няколко потребители на NordVPN. Пренасочването на някои ресурси от маркетинговия бюджет в ъпгрейди на сървъри и трафик може да помогне за този проблем.

Заключителни мисли за „хакването“ на NordVPN

NordVPN е може би най-популярният VPN доставчик на пазара. Следователно тя има голяма цел на гърба си в силно конкурентен сектор. Това може да обясни защо този „хак“ избухна на първо място, когато медиите скачат на clickbait лента, преди да проучи обхвата на проблема и как той засяга дори потребителите на NordVPN.

Хората изглежда са малко разделени по въпроса. Някои твърдят, че това не бива дори да се нарича „хак“, тъй като включваше изтекла TLS ключ на един сървър във Финландия без достъп до потребителски данни или трафик. Други следват мелодията на TechCrunch и денонсират NordVPN.

Въпреки неотдавнашния безобразие и прегради от заглавия на кликбайт, изглежда, че има малко, ако има такова, влияние върху потребителите на NordVPN - дори и тези, които са използвали сървъра на Финландия през март 2018 г. Като такъв, не виждам причина да звучи алармата и се застъпват за масово изселване далеч от NordVPN. Въпреки че настоящият въпрос е загрижен, той не е катастрофален от каквото и да е от въображението.

Да се ​​надяваме, NordVPN ще използва това като възможност да приведе в съответствие своите приоритети с по-голям акцент върху сигурността и подобряването на своя VPN.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me